思科下一代防火墙集群技能sohu - AG环亚娱乐

思科下一代防火墙集群技能sohu

2019-02-10 10:20:59 | 作者: 尔槐 | 标签: 防火墙,集群,思科 | 浏览: 3228

AG环亚娱乐技能】防火墙集群,简单说就是将多台防火墙绑缚运用,可以依照需求新增或削减防火墙以调整防火墙集群全体功能。

  在网络建造初期,防火墙设备选型是个十分头痛的问题。咱们有必要清晰现有网络中的事务流量模型以及未来或许呈现的数据流增加,这样才可以精确定位需求购买防火墙的功能指标。

  关于当时事务流量,咱们可以经过网管及流量剖析软件来获取相关信息,可是关于未来事务增加带来的流量改变,往往很难猜测。谁都不愿意买台防火墙,成果发现半年因为事务增加而无法运用了。那么怎么处理呢?传统的处理办法一般是预估功能时就高不就低,提早购买较为高端的设备。这样必然会导致长期设备资源的糟蹋,增大了初期出资。“思科下一代防火墙集群”技能正好可以十分好的处理这个问题。用户无需购买贵重的高端设备,只需照顾到现有事务及短期增加来挑选购买,初期投入十分低。假如事务流量后期没有太大的改变,那么彻底没有糟蹋。假如事务增加了,并到达设备功能瓶颈。那么只需再购买设备参加集群,进步集群的处理才能即可。完结了十分好的出资维护。

  防火墙集群在业界很早就有这种说法,那为什么叫思科“下一代”防火墙集群?

  咱们来看一下传统防火墙的集群,一般有以下几种方法。

  1. 经过负载均衡器来对多台防火墙进行负载均担。

  在前些年,这种集群方法还比较遍及。一般是由负载均衡器对多台防火墙进行负载均衡,经过这种方法来处理单台防火墙瓶颈。这种方法的长处是,可以经过多台防火墙一起作业来进步功能。缺点是参加了负载均衡器,导致额定的设备办理及毛病点,一起增加了出资。别的多台防火墙没有一致办理界面,需求独立办理,独立监控核算,独立的排障。

  近些年,跟着防火墙功能的进步,防火墙的功能现已到达乃至超过了负载均衡器。假如依然选用这个计划,或许负载均衡器就成为了功能瓶颈,底子无法起到功能扩展的效果。

  2. 无需负载均衡器防火墙直接集群。

  之前有些厂家供给了无需负载均衡器,只是经过防火墙来组成的集群计划。但这些计划里,往往在流量负载均衡上存在着缺点。一般是集群里挑选一台防火墙作为负载均衡器运用(这点借用了防火墙负载均衡的思路)或许是经过组播方法将流量复制到集群内一切防火墙上,然后由各自防火墙进行挑选性处理。这类集群方法,虽然有必定的功能扩展才能,可是不可防止的存在负载均衡功能瓶颈点或许扩展才能很低的问题。

  为了处理传统防火墙集群方法呈现的问题,思科推出了下一代防火墙集群。思科的下一代防火墙集群有以下特色:

  更经济的线性弹性功能扩展

  思科的下一代防火墙集群经过“无状况负载均衡”的方法来完结集群内防火墙的流量负载均担。

  什么是无状况负载均衡?传统的负载均衡器是要记载会话表的,所以是状况负载均衡。而路由器及路由交换机的等价路由或许战略路由、链路绑缚都可以完结多链路的流量负载均衡,咱们称这种链路负载均衡的方法为无状况的。很明显,这种流量分管的方法的长处是转发速度快,在单链路呈现毛病时流量切换快。

  如下图,防火墙集群布置在两台路由设备中心。流量经过等价路由,战略路由或许链路绑缚方法分管到防火墙。当需求功能扩展时,并联新的防火墙在网络中即可。功能扩展十分便利。


  在此计划中数据流的均衡,依托对端交换机或路由器的链路绑缚算法或许等价路由、战略路由算法来完结。当呈现链路毛病呈现流量异步时,思科下一代集群运用自有的防火墙寻回算法,主动将流量送回有对应会话的火墙进行处理。一起,假如对端路由设备链路负载均担算法不行均匀(当然一般可以经过调整无状况负载均担的算法防止这个问题的呈现)。群内防火墙也可以依照设定,主动负载均衡到其他防火墙,处理了负载均衡不均的问题,使计划近乎完美。

  整个计划运用无状况负载均衡的方法,分管流量到集群内每台防火墙,没有负载均衡功能瓶颈。集群处理功能跟着参加防火墙的数量完结了线性增加。

  更灵敏的防火墙多活冗余

  为了防止在防火墙呈现毛病时形成的事务影响,一般咱们都会挑选冗余布置。传统的防火墙冗余方法运用两台防火墙主备冗余或许双活方法。思科的“下一代防火墙集群”可以很简单将本来的两台防火墙的双活形式扩展为三活、四活到最大8台设备一起作业在主用状况。

  咱们以8台举例,群内每台防火墙都是主用状况,防火墙之间运用8备8方法。任何1台防火墙的会话,均匀的备份到其他防火墙上。假如这台防火墙呈现毛病,7台防火墙一起帮助处理这台防火墙的事务流量,可以完结无缝切换,不会有事务影响。

  在增加火墙到集群或许从集群除掉过程中,相同事务没有影响。而且可以完结无缝防火墙软件晋级。

  学习思科老练的VPC技能,“思科下一代防火墙集群”技能完结了集群内多个防火墙的多链路绑缚,咱们称之为“跨机箱链路绑缚”技能(scEC: span-clustering EC)。它可以把集群内多个防火墙的链路绑缚在一个Ethernet Channel,经过这种方法防火墙集群可以与对端路由交换机的VPC或许VSS对接,完结数据流全路的“设备及链路多虚一”,然后防止了生成树影响。

  下图是下一代防火墙集群与思科数据中心交换机Nexus的VPC互联的计划:


  更齐备的单点办理方法

  当多台防火墙布置集群时,为了便利办理,一般维护人员都期望可以经过一个办理界面一致办理群内一切防火墙。“思科下一代防火墙集群”十分好的完结了一致办理。这其间包含了单点装备、单点检查各种核算信息、日志。别的,可以完结根据群的毛病查询,例如,群内抓取数据包,检查群内数据包处理流程,会话查询等等。彻底像办理一个防火墙相同便利。

  “思科下一代防火墙集群”可以对防火墙的吞吐、新建会话、并发衔接、NAT衔接进行功能扩展。可以供给更高的多活冗余方法,完结单台设备毛病的无缝切换。一起可以供给十分完美的一致办理。

  集群适用于大部分防火墙布置场景,包含当时的热门“双活数据中心”的安全布置,可以经过集群对多个数据中心一致供给安全维护。

  运用“思科下一代防火墙集群技能”,咱们在初期收购时,可以依照现有事务需求,收购两台防火墙,将两台组成集群。在享受到集群给布置带来的一致办理,快速无缝切换的长处的一起。还可以在后期事务增加,现有防火墙功能不行时,经过购买新的防火墙动态参加集群,进步防火墙集群的扩展才能。降低了TCO的一起也极大进步了ROI,是十分好的防火墙布置方法的挑选。

盛拓传媒旗下网站
  • ·AG环亚娱乐
  • ·泡泡网
  • ·ITPUB
  • ·IT文库
  • ·ChinaUnix
  • ·本友会
  • ·机友会
主页 产品报价 试客 本友会 机友会 资讯 评测 图赏 专题

很抱愧,您要拜访的页面不存在,或链接过错!
请承认您输入的网址是否正确或回来 AG环亚娱乐主页

频道导航

手机 | 笔记本 | 家电 | 数码相机 | 显示器 | 家用电脑 | 一体电脑 |

音频 | 键鼠 | 台式机 | 一体电脑 | 互联网 | 轿车科技 | DIY装机 |

效劳器 | 云核算 | 网络通信 | 信息化 | 打印机 | 复合机 |

大数据 | 技能开发 | 网络安全 | 无线组网 | 存储 | 投影机 | 虚拟化 |

关于AG环亚娱乐 | 合作伙伴 | 广告效劳 | 运用条款 | 投稿攻略 | 联络咱们 | 网站导航
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表AG环亚娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章